Vanliga frågor om Siemens cybersäkerhet
Läs våra vanliga frågor om cybersäkerhet för att lära dig mer om de åtgärder som Siemens Digital Industries Software (DI SW) vidtar med säkerheten i våra system.
Åtkomstkontroll
Ja. Data i våra molntjänster har som standard noll åtkomst. Kundadministratörer beviljar eller tar bort åtkomst till användare.
Inom Siemens Digital Industry Software (Siemens) granskar vi molnkonton för åtkomst med minst privilegier kvartalsvis. Denna modell inkluderar åtskillnad av uppgifter, principen ”behov av att veta” och en begäran och godkännandeprocess för alla åtkomstförfrågningar.
Åtkomst till produktionsmolnmiljön styrs via en särskild uppsättning åtkomstpunkter och begränsas till specifika, privilegierade teammedlemmar. Användare autentiseras till åtkomstpunkter med företagsuppgifter med multifaktorautentisering (MFA) för maskinvara beroende på var produktionstillgångarna finns. Lösenord, tillsammans med tvåfaktorsautentisering, används för att komma åt nätverksenheter. Dessa är begränsade till auktoriserade individer och systemprocesser baserade på arbetsansvar och ändras regelbundet.
Tillämpliga åtkomstkontrollkrav inkluderar även hantering av användaråtkomst, privilegierad åtkomst, åtkomstgranskning, multifaktorautentisering och lösenordsutgångsdatum, längd, lockout och komplexitet, tillsammans med krav på registrerings- och avregistreringsprocesser, åtkomstbegränsning, bästa praxis för autentisering, och granskningar av användaråtkomsträttigheter.
Ja. Siemens Facilities avdelning ansvarar för att bedöma våra fysiska platser, tillämpa fysiska säkerhetsåtgärder och regelbundet anpassa dessa åtgärder efter behov. Fysiska åtkomstkontrollmekanismer (t.ex. identifieringsmärken, kontrollerad mottagning, kameror, åtkomstloggning) implementeras på kontorsbyggnader, datacenter och andra Siemens-platser.
Certifieringar och standarder
Vi upprätthåller olika informationssäkerhetscertifieringar, inklusive ISO 27001/17/18, SOC2, TISAX, Cloud Security Alliance (CSA) STAR Level One CAIQ och Cyber Essentials Plus.
För mer information, se Sidan Systemcertifikat.
Vi har implementerat och fortsätter att övervaka ett betydande antal av kontrollerna i NIST SP 800-53 och våra riktlinjer är i linje med ISO 27001 och SOC 2-regelverket.
Datasekretess
Ja. Vi har implementerat tekniska och organisatoriska åtgärder (TOM) baserade på dataskyddsprinciper för att skydda våra system, uppfylla GDPR-kraven och skydda de registrerades rättigheter.
För detaljer om Siemens TOMs, se Bilaga II till våra Data Privacy Terms.
Förfaranden för att ta itu med de registrerades rättigheter finns i våra Data Privacy Terms, avsnitt 10, som beskriver hur den registrerades rättigheter hanteras i enlighet med GDPR. Generellt kommer Siemens att meddela kunden utan onödigt dröjsmål om Siemens får en begäran från en registrerad att utöva sin registrerades rättigheter (såsom rätten till åtkomst, rättelse, radering eller begränsning av behandling). Siemens kommer sedan att bistå kunden med tekniska och organisatoriska åtgärder för att uppfylla sin skyldighet att svara på sådana förfrågningar och för att följa tillämplig dataskyddslagstiftning.
Utvecklingspraxis
Har din organisation en strukturerad ”Data Protection by Design/Default” -strategi när den implementerar ny teknik? Hur gör ni dataskydd till en väsentlig del av kärnfunktionerna i era behandlingssystem och tjänster?
Ja. För Siemens innebär Privacy by Design att laglighet, transparens, informativt självbestämmande, dataekonomi och datasäkerhet redan beaktas när vi utvecklar våra produkter och tjänster. Privacy by Design-koncept integreras därför i våra produktutvecklingsprocesser där så är tillämpligt.
Ja. Vi har fastställt riktlinjer och krav för mjukvaruutveckling och källkodsarkiv, som innehåller riktlinjer för säkerhet under hela livscykeln för utveckling av programvara och tjänster. Dessa riktlinjer täcker ämnen som underhåll av källkod i godkända arkiv (inklusive loggning och övervakning), säker utvecklingsutbildning för programvaruingenjörer och programmeraranalytiker och krav på säker utveckling, testning och driftsmiljöer.
Våra kodningspraxis informeras direkt av Öppet Worldwide Application Security Project (OWASP) standarder. En kombination av säkerhetstester (som penetration, statisk och/eller dynamisk analys) implementeras för att identifiera OWASPs ”Top 10” säkerhetsrisker för webbapplikationer och relaterade problem. Eventuella kritiska problem som upptäcks åtgärdas så snart som möjligt, medan mindre problem vanligtvis behandlas i framtida versioner.
Dataskydd
Ja. Både molndata under överföring och data i vila (inklusive säkerhetskopior) krypteras.
Ja. Våra anställda är skyldiga att genomgå säkerhetsmedvetenhetsutbildning årligen. Ämnen som omfattas av utbildningen inkluderar säker användning av program och verktyg, phishing-metoder, lösenordssäkerhet och multifaktorautentisering, informationsklassificering, mobilarbete/hemmakontorssäkerhet, säker kommunikation och mer.
Ja. Icke-avslöjande behandlas i Siemens företagsdirektiv, som varje anställd samtycker till att följa i anställningsavtalen. Våra avtal med våra partners och leverantörer inkluderar också sekretessskyldigheter och implementerar Siemens Rules for Business Partners, som definierar korrekt hantering av konfidentiell information.
Affärskontinuitet och katastrofåterställning
Ja. Vår serviceavtal om drifttid varierar beroende på vilken servicenivå som gäller för respektive molntjänst.
Standard = 98%
Förbättrad = 99.5%
Maximalt = 99,95%
(Förbättrad och maximal tillgänglighet kanske inte är tillgänglig för alla molntjänster)
För detaljer, se Molnsupport och ramverk för servicenivå (Cloud SLA).
Javisst, via vår servicenivå för Guld.
Se vår Molnsupport och ramverk för servicenivå (Cloud SLA) för detaljer.
Ja. Om inget annat anges i supportcentret har molntjänster ett regelbundet underhållsfönster varje vecka per region som betjänas enligt följande:
- Nord- och Sydamerika: Lördag 01:00 till måndag 03:00 US Eastern (GMT -4)
- Europa, Mellanöstern och Afrika: Lördag 01:00 till måndag 03:00 Centraleuropeisk tid (GMT +2)
- Asien och Stillahavsområdet: lördag 01:00 till måndag 03:00 Japansk standardtid (GMT +9)
Kunder kan prenumerera på att automatiskt få meddelanden om schemalagda stilleståndstider i vårt supportcenter.
Ja, vi säkerhetskopierar kunddata via våra molntjänster. Alla molntjänster som tillhandahålls under vår standardservicenivå utför en daglig säkerhetskopiering som upprätthålls i två veckor, och en månatlig säkerhetskopiering som upprätthålls i tre månader. Efter samma åtkomst- och krypteringsprocesser som originaldata säkerhetskopieras all objektdata till ett sekundärt systemkonto/datacenter i samma geografiska område som originaldata.
För mer information om datalagring och Siemens förbättrade och maximala nivåalternativ (tillgängligheten varierar beroende på produkt), se avsnitt 3.1 i Molnsupport och ramverk för servicenivå (”Cloud SLA”).
Ja. Vi implementerar krav på informationssäkerhetshanteringsprocesser, kriterier och ägande för att upprätthålla verksamheten i svåra situationer.
Rutiner för att återställa data från säkerhetskopior testas minst en gång om året och granskas som en del av interna och externa revisionsprocesser.